Cursos de Herramientas y Técnicas de Ciberseguridad.

Nombre: Kelvin Peña.

Tema: Que es PCI 4.0 y NIST Security Framework.

1. Que es PCI 4.0.

PCI DSS (Payment Card Industry Data Security Standard) es un estándar de
seguridad de la información que se aplica a las organizaciones que
manejan, procesan o almacenan datos de tarjetas de pago. La versión 4.0
de PCI DSS, se publicó en Marzo de 2022 y tiene como objetivo abordar las
amenazas y tecnologías emergentes, así como habilitar métodos
innovadores para combatir nuevas amenazas.
En resumen, PCI DSS4.0 adopta una visión más amplia de la seguridad, lo
que significa que las organizaciones pueden diseñar y utilizar sus propios
sistemas de seguridad personalizados, siempre que cumpla con el
requisito general de protección de datos.
Historia: El Estándar de Seguridad de Datos de la Industria de Tarjetas de
Pago (Payment Card Industry Data Security Standard – PCI DSS) Surgió
como resultado del trabajo conjunto de las principales marcas de tarjetas
de pago, que optaron por centralizar los controles de seguridad de sus
diferentes programas de cumplimiento en un único estándar que facilitara
una implementación de medidas de seguridad y la gestión de la protección
de datos de tarjetas de forma homogénea, evitando solapamientos,
duplicidades e incongruencias.
Es así como el año 2004 se publicó la primera versión del estándar PCI DSS,
que definió los principios básicos de ciberseguridad para la protección de
los datos de tarjetas de pago que debían ser implementados por cualquier
entidad que procesara, almacenara y/o transmitiera dichos datos,
principalmente comercios y proveedores de servicios. Posteriormente, en
el año 2006, se publicó la versión 1.1 del estándar, desarrollada esta vez
por el Payment Card Industry Security Standards Council (PCI SSC), entidad
independiente conformada por las principales marcas de tarjetas de pago
y encargada de la gestión del ciclo de vida de PCI DSS y de otros
estándares de las industrias de medios de pago.
A medida que las empresas afectadas implementaban y gestionaban los
controles del estándar, el PCI SSC, empezó a recibir comentarios y
sugerencias por parte de diferentes empresas y organizaciones
relacionadas con la seguridad de medios de pago, algo que a la larga
terminaría influyendo en la publicación de las siguientes versiones del
estándar, incorporando mejoras, aclaraciones y correcciones menores
basados en la retroalimentación provista por la comunidad.
No obstante, esta iniciativa no perduro por mucho tiempo debido a
diferentes variables externas que obligaron adelantar o a retrasar la
publicación de las versiones subsiguientes del estándar, incluyendo el
impacto de diferentes vulnerabilidades de SSL y TLS, en la trasmisión de
datos de tarjetas por redes publicas abiertas y la optimización en los
procesos de recepción de comentarios por parte de diferentes
organizaciones. De hecho, en el desarrollo de la versión 4.0 del estándar,
los periodos planteados en este ciclo de vida no fueron seguidos y
probablemente esto tampoco ocurra con versiones futuras.

Desarrollo y publicación del estándar PCI DSS V4.0.

La versión 3.2.1 de PCI DSS, fue publicada en Mayo de 2018 como una
versión menor que incluía algunas aclaraciones y revisiones de la versión
3.2, publicada a su vez en Abril de 2016. Se podría decir que desde ese año
(2016) no se habían agregado cambios sustanciales en el estándar, ya que
se había logrado un equilibro entre nivel de madurez de los controles y las
necesidades de ciberseguridad en aquel momento.
No obstante, los cambios tecnológicos en infraestructuras vinculados con
la masificación de servicios en la nube (cloud), la adopción de plataformas
basadas en contenedores, orquestación y microservicios y la implantación
de practicas de desarrollo como Devops, evidenciaron la necesidad de
adaptar el estándar PCI DSS, a los nuevos tiempos para afrontar los retos
provenientes de amenazas emergentes contra los datos de tarjetas de
pago.
Periodos de implementación de PCCI DSS v4.0.
Una vez publicada la versión 4.0 de PCCI DSS y las plantillas de sus
documentos de soportes (Report on Compliaance (ROC) y Attestation of
compliance (AOC)), el PCCI SSC, confirmo las fechas durante las que los dos
estándares serian validos en paralelo, la fecha de retirada oficial del
estándar PCI DSS v3.2.1 y la fecha de aplicabilidad de controles con fecha
de entrada en vigor en el futuro, para permitir una correcta
implementación por parte de las entidades afectadas.

2.Que es NIST Security Framework.

EL Marco de Ciberseguridad NIST:
Es un conjunto de directrices para mitigar los riesgos de ciberseguridad
organizacionales, publicado por el Instituto Nacional de Estándares y
Tecnología (NIST) de los Estados Unidos. El marco “proporciona una
taxonomía de alto nivel de los resultados de ciberseguridad y una
metodología para evaluar y gestionar esos resultados”, además de
orientación sobre sobre las mejores prácticas para gestión de riesgo de
ciberseguridad. El marco se basa en estándares, directrices y practicas
existentes.
Introducción: El marco para la mejora de la seguridad cibernética en
infraestructura críticas, mejor conocida en inglés como NIST Cibersecurity
Framework, fue emitida inicialmente en los Estados Unidos en Febrero del
2014. Actualmente se encuentra disponible la versión 1.1 liberada en Abril
del 2018.
La orientación del marco es ayudar a las empresas de todos los tamaños a
comprender, gestionar y reducir los riesgos cibernéticos y proteger sus
redes y datos, proporcionado un lenguaje común y un resumen de las
mejores prácticas en ciberseguridad.
Aplicabilidad: El marco es aplicable a organizaciones que depende en la
tecnología, ya sea que su enfoque de seguridad cibernética sea
principalmente en tecnología de la información (TI), sistemas de control
industrial (CIS), sistemas ciber físicos (CPS) o dispositivos conectados en
generales, incluido el internet de las cosas (IoT).
Estructura: El Marco consta de tres partes: el Núcleo del Marco, los
Niveles de implementación y los Perfiles del Marco.
EL Núcleo del Marco: Es un conjunto de funciones y actividades de
seguridad cibernética, resultados esperando y referencias informativas que
son comunes en todos los sectores y en la infraestructura critica. El Núcleo
del Marco consta de cinco funciones simultaneas y continuas: Identificar,
Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas,
estas funciones proporcionan una visión estratégica de alto nivel del ciclo
de vida del proceso de gestión de riesgo de la seguridad cibernética de una
organización. Cada función está compuesta de categoría, cada categoría se
divide a su vez en subcategorías y cada subcategoría viene acompañada de
referencias normativas a otros framewors o estándares (ISO 27001, cobiT
5, NIST SP-83, ISA 62443, entre otros) en los cuales se encuentra mayor
nivel de detalle para la implementación de los controles de seguridad
cibernética referidos.
Los Niveles de Implementación de NIST, proporcionan un mecanismo para
que las organizaciones puedan ver y comprender las características de su
enfoque para gestionar el riesgo de seguridad cibernética, lo que ayudara
a priorizar y alcanzar los objetivos de la seguridad cibernética. El marco
considera 4 niveles desde el más débil hasta el mas robusto: Parcial,
Riesgo informado, Repetible y Adaptativo.
El nivel es determinado con base en 3 atributos (Proceso de gestión de
riesgo, integración de la gestión de riesgos, y Participación externa).
Por último, el Perfil representa los resultados que se basan en las
necesidades empresariales que una organización ha seleccionado de las
categorías y subcategorías del Marco. El Perfil se puede caracterizar como
la alineación de estándares, directrices y practicas con el Núcleo del Marco
en un escenario de implementación particular.
De forma mas coloquial se puede decir que el Perfil es una “foto” en el
tiempo que muestra el estado actual (o el nivel de estado deseado) de
ciberseguridad en una organización o unidad de negocio. La diferencia
entre el perfil del estado actual y el perfil de estado deseado permitirá
construir una hoja de ruta priorizada para la implementación.
Bibliografía:
https://www.pcihispano.com/analisis-de-pci-dss-v4-0-parte-1-
introduccion/
IA Bing.
https://www.globalsuitesolutions.com/es/que-es-nist-cibersecurity-
framework/